出典: Security NEXT – https://www.security-next.com/176477
「Kea DHCP」にサービス拒否の脆弱性が発見され、アップデートが公開されました
Internet Systems Consortium(ISC)が提供するDHCPサーバソフトウェア「Kea DHCP」に、サービス拒否(DoS)を引き起こす脆弱性が見つかりました。ISCはこの問題に対応したアップデートを公開し、ユーザーに適用を呼びかけています。
主要なポイント
- 脆弱性の内容:特定の無効な文字列を含むクライアントからのリクエストにより、Kea DHCPのプロセスがクラッシュし、サービス拒否状態になる可能性があります。
- 影響バージョン:Kea DHCPのバージョン3.1.2、3.1.1、3.0.1が対象です。
- 脆弱性識別子:「CVE-2025-11232」として登録されており、CVSSv3.1のベーススコアは7.5で「高(High)」の重要度と評価されています。
- 対策:ISCは脆弱性を修正した「Kea 3.1.3」および「3.0.2」をリリースし、アップデートの適用を推奨しています。また、回避策も案内されています。
- 悪用状況:現時点でこの脆弱性を悪用した攻撃は確認されていません。
技術的な詳細や背景情報
Kea DHCPは、ネットワーク上の端末にIPアドレスを自動的に割り当てる役割を持つDHCP(Dynamic Host Configuration Protocol)サーバソフトウェアです。ISCが開発し、オープンソースとして広く利用されています。
今回の脆弱性は、クライアントから送信されるリクエストの入力処理に問題があり、無効な文字列を受け取った際に適切に処理できず、サーバのプロセスが異常終了(クラッシュ)してしまうことが原因です。これにより、サービスが停止し、ネットワークのIPアドレス割り当て機能に支障をきたす恐れがあります。
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を評価する国際的な基準で、今回の脆弱性は7.5のスコアで「高」と評価されています。これは、攻撃が成功するとサービス停止のリスクが高いことを示しています。
影響や重要性
DHCPサーバはネットワークの基盤となる重要なインフラであり、これが停止するとネットワークに接続する端末がIPアドレスを取得できなくなり、通信障害が発生します。特に企業やサービスプロバイダーのネットワークでは大きな影響を及ぼす可能性があります。
今回の脆弱性は悪用例はまだ報告されていませんが、公開されている情報をもとに攻撃が試みられるリスクは否定できません。そのため、早急にアップデートを適用し、回避策を実施することが重要です。
まとめ
ISCの「Kea DHCP」に存在するサービス拒否の脆弱性「CVE-2025-11232」は、無効な入力によりサーバがクラッシュする問題で、ネットワークの安定運用に影響を与える可能性があります。脆弱性の深刻度は高く評価されており、ISCは修正版を公開しています。ユーザーは速やかに最新版へアップデートし、提供されている回避策も併せて実施することが推奨されます。
